4.2.5.10 备份与恢复管理
a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b) 应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明各份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。
4.2.5.11 安全事件处置
a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b) 应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c) 应根据安全事件对本网络产生的影响,对本网络安全事件进行等级划分;
d) 应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
4.2.5.12 应急预察管理
a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b) 应对相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。
4.3 第3.1级要求
4.3.1 安全管理制度
4.3.1.1 管理制度
除满足4.2.1.1的要求之外,还应满足:
a) 应对安全管理活动中的各类管理内窖建立安全管理制度,以规范安全管理活动;
b) 应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系。
4.3.1.2 制定和发布
除满足4.2.1.2的要求之外,还应满足:
a) 安全管理制度应有统一的格式,并进行版本控制;
b) 安全管理制度应通过正式、有效的方式发布;
c) 安全管理制度应注明发布范围,并对收发文进行登记.
4.3.1.3 评审和修订
除满足4.2.1.3的要求之外,还应满足:
a) 安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;
b) 应定期或不定期对安全管理制度进行检查和审定。
4.3.2 安全管理机构
4.3.2.1 岗位设置
除满足4.2.2.1的要求之外,还应满足。
a) 应设立安全管理工作的职能部门;
b) 应成立指导和管理安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权;
c) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求.
4.3.2.2 人员配备
除满足4.2.2.2的要求之外,还应满足:
a) 应配备专职安全管理员,不可兼任;
b) 关键事务岗位应配备多人共同管理。
4.3.2.3 授权和审批
除满足4.2.2.3的要求之外,还应满足:
a) 应根据各个部门和岗位的职责明确授权审批事项;
b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;
d) 应记录审批过程并保存审批文档。
4.3.2.4 沟通相合作
除满足4.2.2.4的要求之外,还应满足。
a) 各类管理人员之间、组织内部机构之间以及网络安全职能部门内部定期或不定期召开协调会议,共同协作处理网络安全问题;
b) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
c) 应聘请网络安全专家作为常年的安全顾问,指导网络安全建设,参与安全规划和安全评审等。
4.3.2.5 审核和检查
除满足4.2.2.5的要求之外,还应满足:
a) 应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
b) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
c) 应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
4.3.3 人员安全管理
4.3.3.1 人员录用
除满足4.2.3.1的要求之外,还应满足。
a) 应严格规范人员录用过程,对被录用人的资质等进行审查;
b) 应签署保密协议;
c) 应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
4.3.3.2 人员离岗
除满足4.2.3.2的要求之外,还应满足。
关键岗位人员离岗须承诺调离后的保密义务后方可离开。
4.3.3.3 人员考核
除满足4.2.3.3的要求之外,还应满足:
a) 应对关键岗位的人员进行全面、严格的安全审查和技能考核;
b) 应对考核结果进行记录并保存。
4.3.3.4 安全意识教育和培训
除满足4.2.3.4的要求之外,还应满足:
a) 应对安全责任和惩戒措施进行书面规定;
b) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划;
c) 应对安全教育和培训的情况和结果进行记录并归档保存。
4.3.3.5 外部人员访问管理
除满足4.2.3.5的要求之外,还应满足;
a) 应确保在外部人员访问受控区域前先提出书面申请;
b) 对外部人员允许访问的区域、网络、设备、信息等内容应进行书面的规定,并按照规定执行。
4.3.4 安全建设管理
4.3.4.1 定级
除满足4.2.4,1的要求之外,还应满足:
a) 应组织相关部门和有关安全技术专家对网络定级结果的合理性和正确性进行论证和审定;
b) 应将网络的定级结果分级上报至全国或地区的主管部门,主管部门对定级结果审批。
4.3.4.2 安全方案设计
除满足4.2.4.2的要求之外,还应满足:
a) 应指定和授权专门的部门对网络的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
b) 应根据网络的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
c) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理镶略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;
d) 应根据等级测评、安全评估的结果定期调整和惨订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
4.3.4.3 产品采购和使用
除满足4.2.4.3的要求之外,还应满足:
应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
4.3.4.4 自行软件开发
除满足4.2.4.4的要求之外,还应满足:
a) 应确保开发人员和测试人员分离,测试数据和测试结果受到控制;
b) 应制定代码编写安全规范,要求开发人员参照规范编写代码;
c) 应确保对程序资源库的修改、更新、发布进行授权和批准。
4.3.4.5 外包软件开发
与4.2.4.5的要求相同。
4.3.4.6 工程实施
除满足4.2.4.6的要求之外,还应满足:
a)要求工程实施单位能正确地执行安全工程过程;
b)应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
4.3.4.7 测试验收
除满足4.2.4.7的要求之外,还应满足:
a) 应委托公正的第三方测试单位对网络进行安全性测试,并出具安全性测试报告;
b) 应对系统测试验收的控制方法和人员行为准则进行书面规定;
c) 应指定或授权专门韵部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作。
4.3.4.8 交付
除满足4.2.4.8的要求之外,还应满足;
a) 应对网络交付的控制方法和人员行为准则进行书面规定;
b) 应指定或授权专门的部门负责网络交付的管理工作,并按照管理规定的要求完成交付工作;
c)在网络正式投入使用前,应根据实际情况进行试运行,试运行期间应提供相关应急预防措施;
d) 在网络正式投入使用后,应对开发、建设过程中涉及安全要求的配置、口令等内容重新修改、设定。
4.3.4.9 安全服务商的选择
与4.2.4.9的要求相同。
4.3.4.10 备案
除满足4.2.4.10的要求之外,还应满足:
应将网络的安全等级、属性、定级的理由等资料分级上报至全国或地区的主管部门备案。
4.3.4.11 等级测评
a) 在网络运行过程中,应至少每年对网络进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;
b) 应在网络发生变更时及时对网络进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;
c) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评;
d) 应指定或授权专门的部门或人员负责等级测评的管理。
4.3.5 安全运维管理
4.3.5.1 环境管理
除满足4.2.5.1的要求之外,还应满足:
a) 应有指定的部门负责机房安全,并配置电子门禁系统,对机房来访人员实行登记记录和电子记录双重备案管理。
b)工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件。
4.3.5.2 资产管理
除满足4.2.5.2的要求之外,还应满足:
a) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
b) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
4.3.5.3 介质管理
除满足4.2,5.3的要求之外,还应满足:
a) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定:
b) 应对介质的物理传输过程中人员选择、打包、交付等情况进行控制;
c) 应对存储介质的使用过程进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对保密性较高的存储介质未经批准不得自行销毁;
d) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
c) 应对重要介质中的数据和软件采取加密存储。
4.3.5.4 设备管理
除满足4.2.5.4的要求之外,还应满足:
应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。
4.3.5.5 监控管理
a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
b) 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;
c) 应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
4.3.5.6 网络安全管理
除满足4.2.5.5的要求之外,还应满足:
a) 应实现设备的最小服务配置,并对配置文件进行定期离线备份;
b) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入:
c) 应定期检查违反规定拨号上阚或其他违反网络安全策略的行为。
4.3.5.7 系统安全管理
除满足4.2.5.6的要求之外,还应满足:
应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则。
4.3.5.8 恶意代码防范管理
除满足4.2.5.7的要求之外,还应满足:
应定期检查网络内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
4.3.5.9 密码管理
除满足4.2.5.8的要求之外,还应满足:
应建立密码使用管理制度。
4.3.5.10 变更管理
除满足4.2.5.9的要求之外,还应满足:
a) 应建立变更管理制度,变更和变更方案需有评审过程;
b) 应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;
c) 应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
4.3.5.11 备份与恢复管理
除满足4.2.5.10的要求之外,还应满足:
a) 应建立备份与恢复管理相关的安全管理制度;
b) 应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;
c) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
4.3.5.12 安全事件处置
除满足4.2.5.11的要求之外,还应满足:
a) 应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
b) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
c) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
4.3.5.13 应急预案管理
除满足4.2.5.12的要求之外,还应满足:
a) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
b) 应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;
c) 应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。
4.4 第3.2级要求
与第3.1级要求相同。
4.5 第4圾要求
同第3.2级要求。
4.6 第5级要求
待补充。
火电厂系统介绍
配电室管理制度
